Назад | Перейти на главную страницу

В фильтрации tcpdump «порт» избыточен с «tcp»?

Зачем нужно принудительно использовать «tcp» в фильтре «tcpdump» при использовании «порта», если заданные номера портов определены в заголовках TCP (в отличие от IP)

Другими словами, это

tcpdump tcp and port 10000

синоним

tcpdump port 10000

Нет.

  • tcp and port 10000 означает "порт tcp 10000"
  • port 10000 означает «TCP-порт 10000 или UDP-порт 10000» и является синонимом (tcp or udp) and port 10000

Я бы принудительно использовал TCP, если бы хотел, например, видеть только DNS-пакеты, которые передаются по TCP (в отличие от UDP по умолчанию).


(tcpdump должен был быть назван packetdump или netdump поскольку он может выгружать информацию о пакете до уровня 2, а не уровня 4, как следует из его названия.)